Komunikat ISOCERT z dnia 22.03.2023 dotyczący działań związanych z  przejściem z normy PN-EN ISO/IEC 27001:2017  na normę ISO/IEC 27001:2022

 

ISOCERT informuje, że  25.10.2022 r opublikowane zostało nowe wydanie normy ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management system– Requirements.

Główne zmiany w ISO/IEC 27001:2022 w porównaniu z PN-EN ISO/IEC 27001:2017

  • Zmieniono Załącznik A, który aktualnie odnosi się do zabezpieczeń informacji określonych w znowelizowanej normie ISO/IEC 27002:2022, która zawiera informacje o nazwach kategorii zabezpieczeń i samych zabezpieczeniach; w porównaniu z poprzednim wydaniem liczba zabezpieczeń uległa zmniejszeniu ze 114 zabezpieczeń pogrupowanych w 14 rozdziałach, do 93 zabezpieczeń w 4 rozdziałach. 11 zabezpieczeń stanowi nowe propozycje, 24 powstały w wyniku połączenia dotychczasowych zabezpieczeń, a 58 zabezpieczeń zostało zaktualizowanych.
  • Do uwag w rozdziale 6.1.3 c) wprowadzono zmiany redakcyjne, w tym usunięto cele stosowania zabezpieczeń i użyto sformułowania „zabezpieczenie informacji” zamiast „zabezpieczenie”.
  • Tekst rozdziału 6.1.3 d) został przeorganizowany w celu wyeliminowania potencjalnej niejednoznaczności.
  • Dodano nowy punkt 4.2 c) dotyczący określenia tych wymagań stron zainteresowanych, które będą spełniane poprzez system zarządzania bezpieczeństwem informacji (ISMS).
  • Dodano nowy podrozdział 6.3 – Planowanie zmian, stanowiący, że organizacja powinna przeprowadzać zmiany w ISMS w sposób zaplanowany.
  • Zachowano spójność w zakresie czasownika używanego w powiązaniu z wyrażeniem „udokumentowane informacje”, np. w rozdziałach 9.1, 9.2.2, 9.3.3 i 10.2 użyto sformułowania „Powinny być dostępne udokumentowane informacje jako dowód XXX”.
  • W rozdziale 8 użyto sformułowania „dostarczane z zewnątrz procesy, wyroby i usługi” zamiast „pod zlecane procesy” i usunięto termin „pod zlecanie”.
  • Nadano tytuły podrozdziałom w rozdziałach 9.2 – Audit wewnętrzny i 9.3 – Przegląd zarządzania oraz zmieniono ich kolejność.
  • Zmieniono kolejność dwóch podrozdziałów w rozdziale 10 – Doskonalenie.
  • Zaktualizowano wydania dokumentów związanych wymienionych w Bibliografii, takich jak ISO/IEC 27002 i ISO 31000.

 

Zasady postępowania w okresie przejścia z PN-EN ISO/IEC 27001:2017 na ISO/IEC 27001:2022

ISOCERT jako akredytowana jednostka certyfikująca opracowała zasady postępowania w trzyletnim okresie przejścia w oparciu o dokument IAF MD 26:2023 – Wymagania dotyczące przejścia na normę ISO/IEC 27001:2022:

Od 31.10.2022 obowiązuje trzyletni okres przejściowy wdrożenia i certyfikacji wymagań ISO/IEC 27001:2022.  Z dniem 31.10.2025 wszystkie certyfikaty wydane na zgodność z normą PN-EN ISO/IEC 27001:2017  stracą ważność.

ISOCERT będzie prowadzić procesy początkowej certyfikacji / ponownej certyfikacji na zgodność z normą PN-EN ISO/IEC 27001:2017  do 29.04.2024 r.

Od dnia 30.04.2024 r  procesy początkowej certyfikacji / ponownej certyfikacji prowadzone będą wyłącznie na zgodność z normą ISO/IEC 27001:2022. 

W okresie przejściowym ISOCERT będzie prowadzić dla Klientów posiadających certyfikację na PN-EN ISO/IEC 27001:2017  audity przejścia na ISO/IEC 27001:2022 w ramach połączenia z planowanymi auditami ponownej certyfikacji  lub auditami w nadzorze. Niezależenie istnieje możliwość przejścia na ISO/IEC 27001:2022 również w ramach auditu specjalnego.

Zgodnie z wymaganiami dotyczącymi przejścia na ISO/IEC 27001:2022 opisanymi w dokumencie IAF MD 26:2023, na działania związane z auditem przejścia doliczony zostanie dodatkowy czas:

  • co najmniej 0,5 auditoro-dnia na audit przejścia, w przypadku gdy jest on przeprowadzany w połączeniu z auditem ponownej certyfikacji
  • co najmniej 1,0 auditoro-dzień na audit przejścia, w przypadku gdy jest on przeprowadzany w połączeniu z auditem w nadzorze lub jako oddzielny audit.

W oparciu o wyniki auditu przejścia zostanie podjęta decyzja w sprawie przejścia ISO/IEC 27001:2022 i zostanie zaktualizowany certyfikat Organizacji, data zakończenia bieżącego cyklu certyfikacji nie ulegnie zmianie.

Zakres auditu przejścia będzie obejmował między innymi:

  • analizę luk dotyczącą ISO/IEC 27001:2022, a także potrzebę zmian w SZBI klienta;
  • aktualizację deklaracji stosowania (SoA);
  • aktualizację planu postępowania z ryzykiem;
  • ocenę wdrożenia i skuteczność nowych lub zmienionych zabezpieczeń informacji wybranych przez klienta.

 

Gotowość ISOCERT do prowadzenia auditów na zgodność z ISO/IEC 27001:2022
ISOCERT jako jednostka certyfikująca systemy zarządzania, jest na etapie uaktualniania zakresu akredytacji do prowadzenia procesów certyfikacji według wymagań ISO/IEC 27001:2022. Po uaktualnieniu zakresu akredytacji będzie mogła wydawać akredytowane certyfikaty na zgodność z nową normą. Wniosek o aktualizację akredytacji został złożony w Polskim Centrum Akredytacji.
Będziemy na bieżąco informowali Państwa o wszystkich istotnych informacjach.

Szkolenia w zakresie ISO/IEC 27001:2022
ISOCERT przygotowało ofertę szkoleniową obejmującą zakres związany z ISO/IEC 27001:2022.
Szczegóły znajdują się na naszej stronie internetowej: https://www.isocert.org.pl/szkolenia/informacje-o-szkoleniach

Tomasz Wycisk
Dyrektor ds. certyfikacji